нужен ускоренный курс по HTTPS / SSL для Rails

Question

Я запустил наше приложение Ruby on Rails на Heroku, используя HTTP. Теперь пришло время использовать HTTPS во время процесса входа в систему и для всех транзакций после того, как пользователь вошел в систему. Но я не уверен, с чего начать.

Конфигурация

Мы используем:

Ruby (1.9.2)
Rails (3.0.5)
Devise (1.5.3)

Наш домен (зарегистрированный GoDaddy) - oursite.com (не его настоящее имя), который разрешается до oursite.herokuapp.com. Я хочу, чтобы безопасные транзакции выполнялись на поддомене https://secure.oursite.com. Я приобрел SSL-сертификат у GoDaddy, создал файлы ключей, зарегистрировался в службе Zerigo DNS и настроил серверы имен oursite.com для указания на серверы Zergo. И на Heroku я сделал:

heroku domains:add secure.oursite.com
heroku ssl:add final.crt site.key
heroku addons:add ssl:hostname

вопросы

• Если пользователь заходит на наш сайт по адресу http://oursite.com, как (и когда) мне переключиться на https://secure.oursite.com?
• Как принудительно использовать https для любой безопасной транзакции (например, отправка пароля)?
• Как можно проверить это с помощью localhost: 3000?

Конкретные ответы, общие ответы и ссылки на учебные пособия и примеры также приветствуются. Спасибо!

Answer 1

Первый:

перенаправление с http://example.com на https://example.mysite.com

... это очень специфический вопрос, который заменяет этот очень общий вопрос. Я суммирую лучшие фрагменты информации, которые я нашел за последние 24 часа, поскольку это может быть полезно для кого-то еще.

• Статья Heroku по SSL является обязательной для прочтения, если вы развертываете на Heroku.
• В Heroku также есть статья, описывающая , как приобрести SSL-сертификат у общего поставщика , а также статья, в которой описывается , как купить SSL-сертификат у GoDaddy .
• Я застрял на некоторое время, пытаясь настроить записи CNAME для моей службы Zerigo DNS . Суть в том, что если вы создаете свою учетную запись Zerigo с помощью панели инструментов Heroku, то вы должны также настроить записи CNAME с помощью панели инструментов Heroku. Горы подробности, перечисленные здесь .
• Если вы планируете перейти на Rails 3.1, сейчас самое время сделать это, поскольку в нем есть встроенный метод force_ssl, который является чистой заменой для различных надстроек (особенно ssl_requirement). ).
• Сказав это, стоит обратить внимание на реализацию ssl_requirement в https://github.com/rails/ssl_requirement/blob/master/lib/ssl_requirement.rb, просто чтобы посмотреть, как она использует redirect_to и объект request.
• Simone Carletti имеет подробную запись в блоге Настройка Rails 3 для использования HTTPS и SSL , охватывающую как Rails 3.0, так и Rails 3.1.

Надеюсь, это полезно ...

Answer 2

Я бы посмотрел на ssl_requirement.Это позволяет вам защищать различные части вашего приложения, тем самым заставляя вас обслуживать только определенные страницы по HTTPS.

https://github.com/rails/ssl_requirement

При локальной разработке вам потребуется настроить какой-то Apache/ NGinx с локально подписанным сертификатом.Быстрый Google обнаружил это:

http://www.subelsky.com/2007/11/testing-rails-ssl-requirements-on-your.html